SMBハイジャック。 Kerberosは邪魔ではありません

SMBRelay（または正確にはNTLM-Relay）について、かなり多くのことが書かれ、言われています。 絶対に欲求なし

この攻撃の詳細を覚えておいてください。 私は、攻撃の本質はユーザーの認証データを操作し、それを別のリソースにリダイレクトできることだけを思い出します。

このようなリダイレクトにより、認証と3番目のリソースへのアクセスが可能になり、通常、その後の起動でファイルがダウンロードされます。





リレーを開発するプロセスは長い間行われてきました。 そして当然のことながら、そこで改善されると思われるものはすべて、明確で理解しやすいものです。

1年ほど前のIntercepterでは、NTLMv2をリダイレクトできました。 3か月後、Metasploitに同様の機能が登場し、個人の愛好家が成果を配布し始めました。 これが論理的な限界です。 SMBRelay自体はほとんど使用されません。この点で、他のプロトコル、特にHTTPを介してNTLMリレーを実装する方がはるかに便利です。 さらに、ドメインネットワークでのSMBRelayの寿命は、「無敵」のKerberosによって複雑になります。これは、SMBRelayの治療法とも呼ばれます。 私の研究では、この神話を破壊し、SMBプロトコルを攻撃するまったく新しいアプローチを紹介したいと思います。

これは完全にSMBRelayではないことに注意する価値があります。このSMBハイジャック技術と呼びましょう。



遠くから始めましょう...



WPAD MiTMに組み込まれたNTLM-Responseグラバーは、インターセプターの新しいバージョンに登場しました。

使いやすくするために、パスワードが空か軽いかをすばやく確認するために、インターセプトされたハッシュを使用してジョン・ザ・リッパーを呼び出すことができるようにすることが決定されました。 その後、スニファーがインターセプトし、JTRを介してブルートフォースになる可能性があるすべてのハッシュは、適切な形式に変換されました。



Wiresharkのサンプルのアーカイブには、Kerberos認証を使用したログがあり、そこからCainはハッシュを抽出し、ブルートフォースメソッドを使用してパスワードを見つけることができました。

ブルートフォースは、AS-REQ要求で、ユーザーパスワードによって暗号化されたタイムスタンプが認証サーバーに送信され、その一部が事前に知られているという事実により可能です。 Kerberos認証ハンドラーが追加され、ライブドメインコントローラーでテストされました（Windows 2008 R2）。 驚いたことに、ハッシュは傍受されませんでした。 問題は、Windows 2008では新しい暗号化アルゴリズムが追加され、以前使用していたrc4-hmacの代わりに、aes256-cts-hmac-sha1-96がデフォルトで使用されるようになったことです。 このハッシュは、rc4-hmacと同じ方法でパッケージから取り出されますが、別の問題が発生しました。

現時点では、aesによって暗号化されたタイムスタンプからパスワードを回復できる総当たり攻撃はありません。 ジョンのメーリングリストで、ある友人がJTRのパッチを作成しましたが、レビューから判断すると、まだ湿っていて、最も重要なプロセスはrc4ソートよりも数百倍遅いソートです。



そのため、インターセプターには、暗号化アルゴリズムをaesからrc4にダウングレードするオプションがありました。 残念ながら、Vista desからは、暗号化が無効になり、rc4が最小限に抑えられたため、さらに低くダウングレードする理由はありませんでした。





ダウングレードは、被害者の発信パケットの可能なメソッドを単に置き換えることによって行われます。



Kerberosへの関心が高まったのはここです。 資料の研究は、Kerberosチケットのリプレイ攻撃の理論的な可能性があることを示しましたが、実際の例と実装は見つかりませんでした。



トラフィックを考えて分析しているときに、まったく奇妙な質問が発生しました：なぜ何かを再配置する必要があるのですか？！ どうして！



SMBセッションとは何ですか？



1. Host_AはHost_Bに接続します

2.セッションプロトコルを選択します

3.認証方法が選択されます

4.コマンドセット...



必要なリソースで完全に許可されている場合、なぜ犠牲者の犠牲者を中継するのですか？！



中間に立って接続をプロキシし、Host_AがHost_Bにログインするまで待ってから、セッションを制御する必要があります。

すでに承認されており、SMBセッションにコードを埋め込むことができます。 クライアントがNTLMであろうとKerberosであろうと、クライアントがどのように承認されたかにはまったく関心がありません！

セッション自体は暗号化されておらず、通常のクライアントでのSMB署名は99％のケースで使用されていません。

より多くの機能に加えて、この手法はSMBRelayよりもはるかに洗練されており、SMB承認の自己プロセスを実装する必要がなくなりました。

ファイルをダウンロードして起動を実行できる最小限のコマンドセットを実装するだけで十分です。



この機能はすべて、Intercepter-NGの新しいバージョンに含まれており、Windows 2008およびWindows 7/8の最新バージョンで実際の状態でテストされています。



この攻撃の実装の難しさと特徴は何ですか。

Vistaから、新しいSMB2プロトコルが使用されるようになりました。 古いバージョンとの主な違いは、コマンドセットの簡素化とパフォーマンスの向上です。

2つのルールを遵守することが重要です。 まず、各SMBセッションには独自のセッションIDがあり、次に、SMB2ヘッダーにコマンドシーケンス番号フィールドがあります。

つまり チームのシリアル番号。 コマンドを実装するには、セッション識別子を指定し、コマンドカウンターをインクリメントする必要があります。



なぜなら Intercepterでは、既存のSMBRelayは古いSMB形式を使用する他の誰かのコードに基づいており、松葉杖を彫刻せず、SMB2コマンドのメインセットを最初から実装しないことにしました。



セッションを導入するためのロジックは次のとおりです。



1.攻撃を受けたホストと3番目のホストの中間に立つ

2.肯定的な応答を伴うSessionSetup Responseコマンドを待ちます

3.セッションIDと現在のチーム番号を取得する

4.ファイルを管理用ボールにコピーします（admin $）

5.ファイルを起動するサービスを作成します

6.サービスを開始します

7. cmd.exe



5番目と6番目のポイントは、MicrosoftがSMB経由でRPC要求を転送できるためにのみ可能です。







それだけです。 この手法は、平均的なドメインでうまく機能します。 多くの場合、管理アクセス権を持つアカウントでSMBを介してクライアントコンピューターでいくつかの操作を自動的に実行するソフトウェアがあります。 または、直接、管理者が攻撃の標的になる可能性があります。



Kerberosは私たちにとって邪魔ではありません。 ところで、SMBのKerberosは、コンピューターが名前でアクセスされる場合にのみ使用され、IP経由でボールにアクセスする場合は、NTLMのみが使用されます。 ドメインクライアントを攻撃する場合、攻撃者はドメインのメンバーである必要はありません。

要件が満たされていれば、通常のワークグループでSMBハイジャックを使用できます。管理者は管理アクセス権を持ち、IPC $ \ ADMIN $管理リソースが利用可能です。

Intercepterは、SMBセッションのパッシブインターセプトに加えて、攻撃者のWebトラフィックにSMBリソースへのリンクを挿入します。これにより、アクセスを取得するプロセスが大幅に高速化されます。



ファイルのダウンロードが成功した場合、またはアクセスできない場合、接続を終了する必要があります。 攻撃されたセッションはすでに違反されています（コマンドカウンターがノックダウンされています）。 傍受プロセスをループさせないために

要求されたリソースに到達できるようにして、Intercepterは攻撃をマークし、攻撃が再開されるまでフローに干渉しなくなります。 これにより、疑いがなくなり、誤動作がなくなります。



以下のSMBハイジャックのデモビデオ。







KerberosダウングレードとSMBハイジャックに加えて、Intercepterの新しいバージョンでは次の変更が発生しました。



MiTMの統合されたWPADプロキシサーバーはNTLM-Responseグラバーを統合します。 結果のハッシュを列挙できます。

インターセプトされたハッシュの数については、プログラムからブルートフォースを直接起動できます。そのためには、まずJTR（ジャンボパッチを含む）をダウンロードし、Intercepterでフォルダーに配置する必要があります。

スマートスキャンでは、新しいOSフィンガープリント方法が追加され、より正確な結果が得られます。

SYNポートスキャナー、DHCP MiTMのホワイトリストMACアドレス、IDN（国内ドメイン名）のサポート、およびその他の多くの改善と修正がありました。



SMBハイジャックはデフォルトで使用されます。古いSMBRelayを実行する必要がある場合は、エキスパートモードで対応するDawを切り替える必要があります。



フォーラムまたはメールで質問できます。



提供される情報は、情報提供のみを目的としています。 著者は、この記事の資料によって引き起こされる可能性のある損害について責任を負いません。